49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
• Весьма любопытный tui тренажёр для обучения основам работы в терминале. Содержит около 70 заданий, которые вам предстоит решить. Проходить увлекательно и полезно, так что рекомендую для самообразования и получения необходимого опыта.
➡️ https://github.com/learnbyexample/TUI-apps
• Кстати, у автора есть ещё несколько tui программ, с помощью которых можно потренироваться в работе с awk, grep, sed и регулярками...
#CLI #Linux
• Go — популярный языка программирования, который высоко ценится этичными хакерами за его простоту, эффективность и надежность. Если у Вас есть потребность в изучении данного языка, то держите бесплатный курс для начинающих.
• Данный материал поможет вам научиться писать простые сервисы и использовать этот язык в некоторых рабочих задачах. Кстати, там еще есть большая подборка материала для погружения в тему. Содержание следующее:
➡Полезные ресурсы для погружения в Go. Часть 1;
➡Полезные ресурсы для погружения в Go. Часть 2;
➡Fuzzing-тесты в Go после v1.18: знакомство и практика;
➡Как написать свой REST API на Go? Разрабатываем сокращатель ссылок;
➡Как разработать gRPC-сервис на Go;
➡Подключение Go к Apache Kafka;
➡Как тестировать Kubernetes с помощью Go.
➡️ https://selectel.ru/blog/courses/practical-go
• В качестве дополнения рекомендую рассмотреть еще один бесплатный курс на платформе stepik. Этот материал подойдет для тех, кто не имеет опыта в программировании. В курс входят 42 урока, 110 тестов и 45 интерактивных задач: https://stepik.org/course/100208
#Курс #Go
Хорошего DevOps-инженера непросто найти, трудно недооценить и ещё сложнее — заменить. Спрос на специалистов стабильно превышает предложение, а зарплаты — в числе самых высоких в IT.
Если хотите развиваться в профессии с высоким потенциалом, начните с курса Нетологии «DevOps-инженер с нуля». Уже через 6 месяцев вы сможете трудоустроиться сисадмином, параллельно осваивая навыки DevOps.
В результате научитесь:
👉 работать с Docker, Kubernetes, Jenkins и Git;
👉 настраивать CI/CD и мониторинг инфраструктуры;
👉 администрировать Linux, Windows и базы данных;
👉 использовать облачные технологии и микросервисы.
Вас ждут минимум 4 проекта в портфолио, бесплатный доступ к Yandex Cloud и 10 QA-сессий с экспертами из Alibaba Group, ВКонтакте и Ozon, где сможете задать любые вопросы о профессии.
А чтобы быть ещё конкурентоспособнее, вы подтянете английский и познакомитесь с основами Python.
Сейчас на курс действует скидка 40% — записывайтесь 💡
Реклама. ООО "Нетология". ИНН 7726464125 Erid 2VSb5xPjPRj
• На хабре недавно опубликовали очень хороший лонгрид по Docker, в котором описаны механизмы контейнеризации + примеры, эксперименты и реализация. Подойдет новичкам, кто хотел погрузиться в данную тему.
• Краткое содержание:
➡Chroot как первый популярный механизм, с помощью которого можно изолировать процесс в контексте файловой системы;
➡Namespaces как механизм, представляющий собой прослойку между желанием процесса получить ресурс и самим ресурсом;
➡Cgroups как ещё один механизм изоляции процессов, но только уже в контексте физических ресурсов системы;
➡OverlayFS как способ экономить место за счёт хитрой работы с файловыми системами контейнеров. Самое главное, поняли почему Docker слоёный пирог :);
➡Стандарт OCI как вещь, на которой держится вся современная контейнерная инфраструктура и утилиту runC, являющуюся эталонной реализацией OCI.
➡ Читать статью [33 min].
• Не забывайте про дополнительный материал:
➡Docker Security - очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д.
➡Список вспомогательных приложений и скриптов для автоматической проверки Docker образов на уязвимости;
➡Docker с нуля: бесплатный курс от Select;
➡Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.;
➡Metarget: инструмент, который позволяет развернуть уязвимую версию Docker. Будет полезно пентестерам для получения практического опыта;
➡Secret Docker Commands: небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации;
➡Play with Docker — онлайн-сервис для практического знакомства с Docker;
➡Attacking Docker: хорошая статья, которая включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и т.д.;
➡Docker Security: еще одно объемное руководство по безопасной настройке Docker.
#Docker
🎉 Результаты розыгрыша:
🏆 Победители:
1. OnyxRed (@onyx_red1980)
2. Макар (@mspirin)
3. 4D61686F75 (@akinoiro)
4. Саша (@apprilepin)
5. Johny (@JohnyKurgan)
✔️Проверить результаты
Сегодня «Лаборатория Касперского» выпустила первую коммерческую версию Kaspersky NGFW!
В релизе много новых фич, часть из которых доработана по итогам пилотных проектов второй беты, которую коллеги выпустили в апреле этого года.
Самое важное в коммерческом релизе:
* Detection Rate 95% у IDPS*
* Производительность 180 гбит/сек в режиме L4 со включенным Application Control**
* 7000+ поддерживаемых сигнатур у IDPS
* User-aware политики
* FQDN в качестве destination в правилах межсетевого экрана
* Динамическая маршрутизация (BGP, OSPF)
* DHCP relay
Была проведена значительная работа по улучшению стабильности работы отказоустойчивого кластера active-passive на базе собственного протокола KHCP (Kaspersky High-availability Cluster Protocol) и добавлена поддержка мониторинга интерфейсов в кластере.
В коммерческой версии 3 модели оборудования серии KX: 100, 400 и 3500, можно выбрать модель по необходимой производительности. Все железо форм-фактора 1U – для экономии места в стойке. В будущем релизе 1.1 появится еще одна модель оборудования KX-1000.
Отдельно хочется отметить понятную и прозрачную политику лицензирования. Важный факт для корпоративных клиентов: если лицензия истекает, решение остается работоспособным, но обновление локальных баз и взаимодействие с Kaspersky Security Network становится недоступным.
Стоит также напомнить, что решение управляется централизованно через консоль OSMP, поддерживает различные XDR-сценарии, интегрируется с песочницей Kaspersky Anti Targeted Attack, а в основе решения производительный Stateful Firewall, продвинутая SSL/TLS-инспекция и данные Kaspersky Threat Intelligence.
Узнать все о возможностях решения, ознакомиться с методикой тестирования и записаться на пилот можно на странице решения.
* Данные IXIA BreakingPoint, Strike Level 3 и 5, 2521 попытка атак
** Тестирование проводилось с 20 000 правил Firewall и включенным логированием
• Нашел бесплатный курс по SQL с множеством объемных уроков, которые включают в себя необходимую теорию, практические занятия в редакторе Mode от полных новичков до продвинутых спецов SQL, включая всю базу (SELECT, WHERE, ORDER BY, LIMIT и логические операторы), а также продвинутые темы (агрегирующие функции, GROUP BY, HAVING, соединение таблиц). В проекте доступен симулятор на реальных данных, A/B тестирование и инсайты продукта.
➡️ https://mode.com/sql-tutorial
• P.S. Не забывайте про текстовую игру SQL Noir. По сюжету вы будете выступать в роли детектива, которому необходимо решить определенный пул задач, анализируя улики в базе данных. Есть задачи для начинающих, продолжающих и продвинутых пользователей.
#SQL
• Как уже было сказано ранее, 6 августа 1991 года Тим Бернерс-Ли запустил первый в мире веб-сайт на первом в мире веб-сервере, доступном по адресу info.cern.ch. Ресурс определял понятие «Всемирной паутины», содержал инструкции по установке веб-сервера, использования браузера и т.п. Этот сайт также являлся первым в мире интернет-каталогом, потому что позже Тим Бернерс-Ли разместил и поддерживал там список ссылок на другие сайты. Это было знаковое начало, которое сделало интернет таким, каким мы его знаем сейчас.
• А началось всё с того, что Тим работал в ЦЕРН (европейской лаборатории по ядерным исследованиям в Швейцарии). Там он разработал программу Enquire ("справочная" или "записная книжка"), которая использовала метод случайных ассоциаций. Принцип ее работы, во многом, явился основой для создания Всемирной паутины. Основная задача этой программы заключалась в публикации гипертекстовых документов, которые были бы связаны между собой гиперссылками. Это позволяло заметно облегчить поиск информации, ее систематизацию и хранение. Первоначально предполагалось, что проект будет реализован во внутренней сети CERN для локальных исследовательских нужд, как современная альтернатива библиотеке и другим хранилищам данных. При этом, загрузка данных и доступ к ним были возможны с любого компьютера, подключенного к WWW.
• Несмотря на скептическое отношение старших коллег, в 1989 году проект, получивший название «World Wide Web» был утвержден и реализован. Осенью 1990 года сотрудники CERN получили в пользование первый «веб-сервер» и «веб-браузер», написанные собственноручно Бернерсом-Ли в среде NeXTStep. Летом 91-го года проект WWW, покоривший научный мир Европы, пересёк океан и влился в американский Internet.
• Именно так, ровно 34 года назад, появился первый в мире веб-сайт, на который вы можете зайти по адресу info.cern.ch.
• К слову, работа над проектом продолжалась с 1991 по 1993 год: разработчики собирали отзывы пользователей и на их базе осуществляли доработку всемирной паутины. В частности, уже тогда были предложены первые версии протоколов URL (как частный случай идентификатора URI), HTTP и HTML. Также был внедрен первый веб-браузер на основе гипертекста World Wide Web и редактор WYSIWYG.
• Одним из ключевых свойств WWW всегда считалась децентрализация узлов. Как и у прародителей интернета (сетей ARPANET и NSFNet), она обеспечивала надёжность функционирования, отсутствие географических границ и политических барьеров. Так то...
#Разное
• Если помните, то несколько месяцев назад я делился с вами очень крутым материалом, где подробно описан опыт автора по ручному развертыванию Kubernetes без использования автоматизированных инструментов. Так вот, есть еще одна статья, не менее интересная и полезная. На этот раз автор описывает настройки аудита в Kubernetes, его возможности и примеры конфигураций, которые помогут вам сформировать эффективную политику аудита для вашего кластера.
➡Что такое аудит;
➡Политика аудита;
➡Параметры фильтрации;
➡Уровни логирования;
➡Стадии omitStages;
➡Подавление системного шума;
➡Фильтрация по пользователям;
➡Защита чувствительных данных;
➡Детализация для важных API;
➡Настройка API-сервера;
➡Заключение.
#Kubernetes
🪟 Кнопка «Пуск».
• А вы знали, что до появления Windows 95 работа с компьютером для большинства сводилась к набору команд в командной строке MS-DOS? А то, что кнопка "Пуск" впервые появилась в Windows 95?
• Дело в том, что Windows 3.11, предшественница 95-й версии, хоть и предлагала графический интерфейс, все равно опиралась на MS-DOS как на базовую операционную систему, требуя загрузки DOS перед запуском Windows.
• Windows 95 же стала первой операционной системой Microsoft, предлагавшей полностью графический интерфейс. Она объединила MS-DOS и Windows в одну операционную систему, упрощая процесс установки и использования.
• Кнопка «Пуск», ставшая символом Windows 95, также сыграла ключевую роль в успехе ОС. Она помогла легко находить программы и управлять задачами. Меню «Пуск» стало настолько привычным, что его отсутствие в Windows 8 вызвало бурю недовольства среди пользователей.
• Панель задач, расположенная вдоль нижней части экрана, стала ключевым инструментом для управления открытыми окнами. Она позволяла быстро переключаться между приложениями и обеспечивала наглядность работы. В Windows 95 пользователи получили удобный способ контроля над своими задачами, которого не было ни в Windows 3.x, ни в Macintosh того времени. Для сравнения, в Mac OS диспетчер задач, напоминающий функциональность панели задач, появился только в OS X Beta в 2000 году. На фото выше можно посмотреть, как выглядел интерфейс Win95 и кнопка "Пуск" того времени...
#Разное
• Очень содержательный список из 10 наиболее распространенных угроз LLM от OWASP. По ссылке ниже можете скачать полноценный PDF, где у каждого пункта есть описание, примеры, сценарии атак и меры предотвращения.
• По сути, это актуальный и всеобъемлющий материал, который охватывает ключевые риски, уязвимости и методы их устранения для защиты генеративного ИИ и LLM-приложений на всех этапах их жизненного цикла: разработки, развертывания и управления. Будет крайне полезно DevSecOps, разработчикам, пентестерам и ИБ специалистам. Содержание на скриншотах.
➡️ https://genai.owasp.org/download/46133
#LLM #DevSecOps #Security
• Вероятно, что вы уже слышали о том, что на презентации WWDC 2025 Apple анонсировала свою систему контейнеризации, которая позволяет запускать изолированные дистрибутивы Linux в виртуальной среде на устройствах с Apple Silicon. Проект называется container, и если выражаться простыми словами, то это альтернатива #Docker, сделанная самими Apple. Но речь немного не об этом...
• В блоге Kali Linux опубликована информация, что теперь Kali можно запускать на macOS Sequoia как раз с помощью container. Кстати, там еще есть подробная инструкция с описанием всех действий для запуска Kali. Таким вот образом у нас появился быстрый способ запустить контейнеры Kali на macOS.
➡️ https://www.kali.org/blog/kali-apple-container-containerization/
• P.S. Ну и если вы задаетесь вопросом "В чем преимущество container в отличие от докера?", то Apple на него уже ответила:
• Дело в том, что меняется принцип работы: вместо общей Linux-ВМ, как в Docker, для каждого контейнера создаётся отдельная минималистичная виртуальная машина. Это обеспечивает:
➡Строгую изоляцию — процесс, выходящий из контейнера, находится внутри ограниченной виртуальной машины, а не в общей среде с доступом к другим контейнерам.
➡Упрощённое управление ресурсами — контейнеры, созданные с использованием фреймворка, требуют меньше памяти, чем полноценные виртуальные машины.
➡Автоматическое назначение уникального IP-адреса — это избавляет от необходимости пробрасывать порты.
➡️ https://github.com/apple/container
#Kali #Linux #Apple
Онлайн-конференция ИБ без фильтров
🔥Мероприятие, где говорим о реальных проблемах и ищем практические решения, возвращается!
🗓 14 августа 11:00-15:00 мск ждем на бесплатной онлайн-конференции «ИБ без фильтров»
Что будет полезного?
Честный диалог, нестандартные кейсы и полезный опыт — все без фильтров.
Кому стоит сходить?
Мероприятие для представителей бизнеса от экспертов в области информационной безопасности.
Какие темы затронем?
— Как оценить навыки ИБ-специалиста.
— Как снизить риски с помощью систем класса «менеджеры паролей».
— Как вовлечь разработчиков, сотрудников и бизнес в защиту компании.
— Чем важны разные источники данных при расследовании инцидентов ИБ.
Кто в спикерах:
— Анастасия Федорова. Руководитель образовательных программ, Positive Education
— Кира Шиянова. Менеджер продукта платформы Jet CyberCamp, «Инфосистемы Джет»
— Никита Вьюгин. Менеджер проектов «МКО Системы»
— Валерий Комягин. Генеральный директор BearPass
— и другие эксперты из крупных компаний рынка ИБ
▶️Регистрация по ссылке.
Ждем вас на самый честный диалог по теме ИБ
Реклама. ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569, ОГРН 1125476195459 erid:2SDnjeHgC6a
• Пост выходного дня: энтузиаст Бенн Джордан преобразовал "изображение" в звуковой сигнал и обучил молодого скворца запоминать и точно воспроизводить этот звук для последующего преобразования в исходный файл.
• Джордан рассказал, что он создал изображение и преобразовал его в аудиофайл с помощью спектрального синтезатора. Получившийся набор звуков он регулярно включал скворцу, чтобы тот выучил мелодию. Потом с помощью ультразвукового микрофона и аудиорекордера Sony PCM-100 Джордан записал пение скворца и декодировал результат. Оказалось, что скворец довольно точно смог воспроизвести картинку.
• Если говорить простыми словами, то мужик записал изображение на скворца (видео выше). Вот вам настоящий бэкап в облаке...
➡️ https://www.reddit.com/r/videos/image_to_a_bird
➡️ https://youtu.be/hCQCP-5g5bo
#Оффтоп #Разное
• А вы знали, что в период с 1931 по 1933 год в Чехословакии была создана самая большая вертикальная картотека? Давайте расскажу, как было устроено хранение документов и что помогало сотрудникам ориентироваться в гигантском хранилище (площадь 370 кв. м., а высота шкафов - 3 метра).
• Ну, для начала, посмотрите фото выше, их там очень много. Как вы все прекрасно знаете, компьютеров в 30-х гг. XX века не было, так что сотрудникам института приходилось работать с бумажными документами. Стремясь облегчить жизнь чиновников, чехословацкие инженеры совершили настоящий трудовой подвиг: спроектировали и построили самую большую в мире картотеку для долгосрочного хранения документов и быстрого доступа к ним.
• Картотека была вертикальной — такая конструкция позволяла эффективно использовать трехметровую высоту помещения. В те годы это была самая большая архивная система такого рода в мире: стеллажи тянулись от пола до потолка и вмещали более 3 000 ящиков с документами. Причем сама система занимала не такую уж и большую площадь — 370 м2. Но как сотрудники добирались до средних и высоких ярусов? Все просто и сложно одновременно.
• Чехословацкие инженеры проявили недюжинную смекалку. Одной из главных инноваций картотеки были электрические подъемные столы. С их помощью сотрудники без труда получали доступ к любому ящику на любой высоте.
• Как все это работало:
➡Подъемные столы могли двигаться вверх, вниз и в стороны. Так что сотрудники могли перемещаться к нужным ящикам, не тратя время на лазанье по лестницам. Сидишь себе на рабочем месте, а оно тебя катает по всем направлениям.
➡Панель управления с кнопками позволяла точно настраивать положение столешницы перед выбранным ящиком. Оператор мог полностью контролировать процесс и останавливаться на нужном уровне.
➡Конструкция столов обеспечивала безопасность сотрудников при работе на любом уровне.
• Нововведение с подъемными столами и электрическим управлением снизило трудозатраты: работа, которая раньше требовала усилий 400 человек, теперь могла выполняться всего 20 сотрудниками архива.
• А вот вам еще немного подробностей. У системы были:
➡Электрические запоры. Сотрудники могли открывать и закрывать ящики нажатием одной кнопки. Ничего не нужно было переносить в руках. Каждый ящик весил немало — ручное открытие повышало бы риск травм на рабочем месте, особенно на высоте. После просмотра документа сотрудник одним нажатием кнопки закрывал замок. Это позволяло избежать случаев, когда ящики оставались открытыми и документы оказывались в свободном доступе.
➡Надежное хранение. Поддерживался постоянный порядок в хранении документов, так как каждый ящик открывался только по необходимости, и система фиксировала само открытие ящика. Это исключало вероятность неавторизованного доступа к информации.
• Документы были тщательно структурированы и организованы по категориям, а это упрощало поиск нужных данных. Кстати, был даже внутренний контроль доступа к ящикам. Например, при каждом открытии автоматически фиксировался код сотрудника и время просмотра документов. Это давало возможность мониторить действия конкретного сотрудника. Такая вот информационная безопасность начала XX века.
• Архивная система была уникальной для своего времени. Ее достоинства оценили и другие государства, так что подобные комплексы появились в США, Германии, Франции и Японии.
• Кстати, с увеличением объема документов возникла необходимость в более эффективных методах их обработки и хранения. Сегодня вся информация оцифрована, а картотека используется как архив старых документов.
#Разное
• Совсем недавно Microsoft предоставляли информацию, что все новые учётные записи будут по умолчанию заводиться без пароля, чтобы защитить их от соответствующих атак, таких как фишинг, подбор пароля и подстановка учётных данных! Новым пользователям предложат несколько вариантов входа в учётную запись, в том числе биометрическую аутентификацию через отпечатки пальцев и распознавание лиц.
• Так вот, на прошедшем Black Hat в Лас-Вегасе, немецкие исследователи Тильман Освальд и доктор Батист Дэвид рассказали, как можно взломать бизнес-версию продукта.
• После того, как Дэвид вошел в систему, используя снимок лица, Тильман, выступая в роли злоумышленника с правами локального администратора, просто выполнил несколько строк кода и внедрил отсканированное изображение своего лица, полученное на другом компьютере, в биометрическую базу данных целевого компьютера. Через несколько секунд компьютер разблокировал систему, приняв его лицо за изображение Дэвида.
• Windows Hello в бизнес-среде работает следующим образом: при первом запуске генерируется пара открытого и закрытого ключей. Этот открытый ключ затем регистрируется у поставщика удостоверений организации, например, Entra ID.
• Сами биометрические данные хранятся в базе данных, управляемой биометрической службой Windows (WBS), и эта БД зашифрована. Затем, после аутентификации, система сопоставляет данные сканирования в режиме реального времени с сохранённым шаблоном.
• Проблема заключается в том, что в некоторых реализациях шифрование, защищающее эту базу данных, не может остановить злоумышленника, уже получившего права локального администратора. Это позволяет ему расшифровать биометрические данные.
• Решение Microsoft Enhanced Sign-in Security (ESS) изолирует весь процесс биометрической аутентификации внутри защищённой среды, управляемой гипервизором системы. Для работы ESS устройству требуется современный 64-разрядный процессор с поддержкой аппаратной виртуализации (поскольку ESS построен на базе технологии Virtualization-Based Security), чип TPM 2.0, безопасная загрузка (Secure Boot) в прошивке и специально сертифицированные биометрические датчики. Microsoft требует такого уровня защиты для своей новой линейки ПК Copilot+, но, как отмечает Освальд, многие существующие компьютеры не справляются с этой задачей.
• Таким образом, ESS эффективно блокирует эту атаку, но не все могут воспользоваться решением. Например, полуторалетний ThinkPad не имеет защищённого датчика для камеры, поскольку в ПК используются чипы AMD, а не Intel.
По словам Освальда и Дэвида, внедрение патча является сложной или даже невозможной задачей без серьёзной переработки, поскольку он затрагивает фундаментальную архитектуру хранения биометрических данных в системах, не относящихся к ESS.
• Тем, кто использует Windows Hello без ESS, рекомендуется полностью отключить биометрию и использовать вместо неё PIN-код. Такие вот дела...
➡️ https://www.theregister.com/2025/08/07/windows_hello_hell_no
#Новости #Microsoft
• Пост выходного дня: недавно обратил внимание на забавное исследование, в котором указано, что некоторые учёные начали оставлять в своих научных статьях скрытые промты для ChatGPT, чтобы нейросеть хвалила их работу.
• При проверке различного материала в сервисе arXiv (это электронный архив для изучения научных статей по различным направлениям) уже нашлись 17 работ от 14 ведущих вузов мира — в каждой статье были скрытые промпты, которые просили ИИ хвалить её и не подсвечивать минусы. Учёные в научных статьях прячут нужный промпт для ИИ в белом тексте минимального размера, а на выходе получают похвалы и восхищение их трудом от «прочитавших» статью ИИ-сервисов.
• Схема, если честно, не новая. Поэтому всегда проверяйте результат анализа \ ответа и внимательно читайте первоисточники, если пользуетесь ИИ.
➡️ https://asia.nikkei.com/business/hide-ai-prompts
#Al
🪟 Windows Home Server.
• 2007 год! Глава Microsoft Билл Гейтс представляет новинку. Она слишком необычная, чтобы сходу дать ей определение. Это серверная операционная система для домашних пользователей. И первый же вопрос, который возникал у любого потенциального покупателя, — зачем она нужна?
• Тут стоит заострить внимание на время. В 2007 году компьютеры, конечно, уже начинали становиться массовым явлением, но чтобы дома держать серверы… Конечно, такое встречалось, но не часто, в основном у энтузиастов. В целом, у подавляющего большинства пользователей попросту не было столько данных, чтобы выделять под них отдельный сервер. Все хранилось на флешках и внешних жестких дисках.
• Правда, была одна категория пользователей, кому нужно много файлового пространства. В основном это касалось любителей качественной музыки. Если до середины 2000-х оцифровка в популярные lossy-форматы вроде MP3 или WMA была вполне приемлемым решением, то с выходом на арену lossless к ним стали проявлять все больше интереса. Внезапно оказалось, что можно сохранять свою коллекцию музыки во FLAC и наслаждаться таким же качеством, как и при воспроизведении с оригинального носителя. Но это же означало и то, что теперь музыкальные коллекции стали занимать сотни гигабайт, которые нужно было где-то хранить.
• Не отставало и видео. Чем лучше качество, тем больше требовалось пространства на диске. Решение казалось очевидным — технологии хранения массивов данных уже давно прекрасно работали на серверном оборудовании. Но вот как добиться того, чтобы обычный пользователь смог разобраться в настройке? Windows Home Server (WHS) стал решением этой задачи.
• Несмотря на то, что WHS полностью обособленная серверная система, у нее есть отдельный «клиент» под названием Windows Home Server Connector. После того как Connector установлен, в меню появляется отдельный пункт, позволяющий открыть консоль управления сервером. Таким образом можно управлять домашним сервером с любого устройства из локальной сети.
• Еще был Drive Extender - это утилита для обьединения в пулы дисков под Microsoft Windows. Поддерживаются файловые системы NTFS и ReFS, кроме того в пул можно добавлять даже сетевые диски. Диски добавляются "на лету" обязательное форматирование не требуется. Идея проста и гениальна. Обычному пользователю не нужно думать над тем, как грамотно организовать управление физическими дисками. Всю головную боль на себя берет DE, распределяя файлы по накопителям.
• Не менее важной была возможность создавать бэкапы компьютеров и хранить их централизованно. В составе коннектора был агент резервного копирования, который управляется удаленно. Иными словами, можно запустить архив каждого ПК прямо из консоли WHS.
• Еще одной полезной функцией WHS является медиасервер. Три щелчка мышью — и у вас есть готовый сервер потокового вещания, позволяющий без проблем слушать музыку, смотреть видео и фотографии напрямую с сервера. Никаких сложных настроек — все работает «из коробки».
• Если посмотреть на WHS, то идеи, заложенные в нем, значительно опередили свое время. Несмотря на все усилия маркетологов, домашняя серверная ОС была попросту не нужна рядовому потребителю. Стоимость в 100 $ не особенно вдохновляла на покупку, да и профит на тот момент казался сомнительным.
• Вместе с этим на рынке начали появляться NAS-серверы, которые «из коробки» предоставляли удобный интерфейс для быстрого создания дискового хранилища. Ну а распространение широкополосного доступа к интернету и развитие облачных сервисов вроде Dropbox сделали WHS бесполезным для большинства пользователей. Да, объемы данных стали расти, но теперь они не хранились локально, а размещались на удаленных серверах.
• Финал истории был предсказуем. Релиз WHS 2011 состоялся 6 апреля 2011, а спустя всего 5 лет, 12 апреля 2016, поддержка была прекращена. На этом история Windows Home Server подошла к концу.
#Разное
• C июля 2024 года по июнь 2025 года Microsoft выплатила рекордные $17 млн. 344 исследователям безопасности из 59 стран в рамках своей программы вознаграждений за обнаружение уязвимостей. Исследователи представили почти 1,5 тыс. отчётов об уязвимостях. Максимальная индивидуальная награда достигла $200 тыс.
• Отчёты экспертов помогли устранить более 1 тыс. потенциальных уязвимостей безопасности в различных продуктах и на платформах американской корпорации, включая Azure, Microsoft 365, Dynamics 365, Power Platform, Windows, Edge и Xbox.
• Указано, что за предыдущий период Microsoft выплатила $16,6 млн. 344 исследователям безопасности из 55 стран. По сравнению с Apple, которая платит за критич. уязвимости по $1000, это действительно много 😁
➡️ https://msrc.microsoft.com/blog/bounty
#Новости #bb #Microsoft
🎮 Хорошо забытое старое.
• Сервисы, предоставляющие пользователям игры по подписке, — вроде бы новая идея. Но на самом деле еще за 40 лет до появления сервиса Game Pass от Microsoft некоторые компании предлагали нечто похожее.
• Начало подписного бума положила компания Mattel. Она представила PlayCable — периферийное устройство для консоли Intellivision (на фото). Девайс подключал пользователей к постоянно обновляемому каталогу игр за $12,95 в месяц. Игр было много, среди них встречались очень популярные, вроде Utopia.
• Проект PlayCable не был локальной инициативой. В его реализации приняли участие 13 кабельных провайдеров США. Компания также платила за рекламу знаменитостям — все как сегодня. Например, компания заплатила известному бейсболисту того времени за участие в нескольких рекламных роликах, выходивших на экраны в 1982 году.
• PlayCable был главным, но не единственным игроком рынка игровых сервисов того времени. Не обошлось и без конкурентов, один из которых, GameLine, стал партнером Atari в 1983 году. Сервис был совместим с Atari 2600, причем подключение к нему обходилось лишь в $60 за периферийное устройство, Master Module, плюс $15 за активацию сервиса. Подписки не было, вместо этого геймеры платили повременно — $1 в час за игру.
• В том же 1983 году появилось еще одно решение от The Games Network. Компания не подключала консоли геймеров к сети. Вместо этого она предлагала собственное игровое устройство, которое представляло собой нечто похожее на ПК. Можно даже сказать, что в некотором смысле она предлагала пользователям тонкий клиент. Сам по себе он ничего почти не умел и был полностью завязан на сетевые функции. Компания тоже не была маленькой — ее сервис предлагался жителям США, Канады, Великобритании и Германии.
• И это еще не все, у Канады была своя собственная стриминговая игровая сеть. Она называлась Nabu, а слоганом ее была фраза «Переключись на умный ТВ!».
• Но вернемся к PlayCable — это был объединенный проект компании General Instrument, разработавшей специализированные адаптеры для кабельных сетей. Систему от PlayCable подключали кабелем сначала к приставке Intellivision, а потом — к устройству поставщика услуг кабельного ТВ. После подключения данные передавались в FM-диапазоне.
• При включении системы на экране ТВ появлялось приветствие с подключением к «умному» телевидению. Сервис был быстрым, его основа — алфавитный каталог игр, загрузить которые можно было за считанные секунды. Понятно, что их размер был чрезвычайно мал, но все же.
• Было еще одно важное отличие от современных консолей — у приставок того времени не было внутренней памяти, все загружалось в оперативную. Так что игру нужно было скачивать и загружать при каждом запуске PlayCable.
• Что касается устройства от Games Network, то оно не подключалось к консолям и представляло собой полноценную игровую систему, к которой можно подключать дисководы, принтер, джойстики и другую периферию. Подключение к каталогу производилось через модем и телефонный кабель. Подключаться можно было и к другим компьютерным сетям.
• PlayCable, GameLine и The Games Network были очень современными сервисами. Они предлагали клиентам каталог сетевых игр более чем за десять лет до появления всемирной паутины. К сожалению, ни одна из этих компаний не пережила 1984 года.
• Одна из причин — технические сложности, ведь нужно было договариваться с операторами кабельной связи и платить им. Вторая причина — достаточно дорогая подписка. Третья причина — разногласие между партнерами Mattel и General Instrument. Проблема привела к тому, что оборудование для подключения к сети не обновлялось, инфраструктура не модернизировалась, так что пользователи не могли играть в более поздние игры.
• Ну а потом начался крах, начало которому положил 1982 год. Этот и последующие годы стали кошмарным временем для индустрии видеоигр. Компании выходили из проектов, подразделения продавались и покупались. Было уже не до игровых сетей. Вот так и зарождались сервисы по подписке...
#Разное
🌩 Приватность в облаках.
• Вы все прекрасно знаете, что «Защищенные облака» бывают только в сказках. Поэтому не ведитесь на «швейцарскую юрисдикцию» или «военный уровень шифрования». Это чистой воды маркетинг, чтобы завлечь доверчивого мамонта, которому есть что скрывать.
• Ну вот прикиньте ситуацию. Вы открыли свое облачное хранилище. Самое защищенное и самое приватное в мире. И, естественно, весь кибер-сброд стал покупать у вас хранение, потому что вы никогда и никого никому не выдадите. Пройдет год и у вас на дисках скопится куча прона крайне сомнительного содержания: украденные файлы, сэмплы вирусов, может быть, даже документы бородатых людей определенного рода деятельности. В общем, помойка будет лютая.
• Поэтому после очередной «ситуации» специалисты «откуда надо» узнают, что все бармалеи мира хранят данные у вас. Что будет дальше? К вам придут с требованием начать сотрудничество. Или вы станете соучастником. И тут вы начинаете думать о сделке с совестью. Либо вы идейный товарищ, борцун за анонимность и никого не сдадите – тогда вам не поздоровится. Причем за чужие грехи. Либо вы всех сдаете, но после этого ни о какой «приватности» на вашем сервисе речи больше быть не может.
• Примерно такой сюжет происходит с каждым владельцем облаков. Либо вы сканируете файлы своих клиентов на предмет запрещенки, либо у вас скоро не будет никакого бизнеса. Так что приватность – это большая ложь. Приватности быть не может. Это я уже доказал на простом примере. Но что делать, если приватность нужна, а к удобствам пользованием облаком вы уже привыкли?
• Все просто. Вам нужен Cryptomator. С его помощью вы прямо внутри облака можете делать защищенный контейнер, в котором файлы шифруются на лету. Проще говоря, это облако, которое шифруете вы сами. И работать с ним удобно. Взяли самое дешевое (или даже бесплатное, sic!) облако (хоть Google Drive, хоть богомерзкий OneDrive или Dropbox) и сделали на нем контейнер. И все, пользуйтесь! Плюс Cryptomator бесплатный. Чего еще пожелать?
➡️ https://cryptomator.org
#Cloud #Tools #Security
• Многие считают, что основоположником социальной инженерии считается Кевин Митник, который получал доступ к информации не только при помощи технических средств, но и при помощи психологических методов и приёмов. Согласны вы с этим мнением, или нет, решать только вам.
• Митник родился 6 Августа 1963 года. Сегодня ему бы исполнилось 62 года, однако 16 июля 2023 Кевин скончался от тяжелой болезни... Он был самым известным хакером 90-х годов, он проникал во множественные правительственные и корпоративные системы. Ему противостояли лучшие специалисты ФБР по информационной безопасности, которые в итоге смогли достать Кевина и осудить по всей строгости закона.
• Вот некоторая хронология ранних хаков Митника:
➡12 лет — первые мошенничества с телефоном;
➡15 лет — подделка автобусных билетов;
➡16 лет — взлом школьной компьютерной сети и взлом радиосвязи Макдональдса;
➡17 лет — первое незаконное проникновение на территорию Pacific Telephone и первый условный срок;
➡18 лет — взлом Университета Южной калифорнии, арест;
➡25 лет — первый тюремный срок — 12 месяцев, запрет пользоваться телефоном;
➡28 лет — взлом телефона Novatel (с использованием соц. инженерии), что позволяло менять Митнику ESN.
• В 2002 году Митник основал свою собственную компанию по информационной безопасности под названием Mitnick Security Consulting LLC. Организация предоставляла услуги по тестированию на проникновение, аудиту безопасности, обучению персонала и разработке политик безопасности для различных клиентов, включая правительственные, военные и корпоративные организации.
• С момента смерти Митника на хабре публиковалась его биография, которую описали в мельчайших подробностях. Материал очень объемный и рассчитан на несколько часов времени. Если интересно, то переходите по ссылкам ниже.
➡Часть 1: Бурная юность тёмного гения;
➡Часть 2: Кондор учится летать;
➡Часть 3: «Фортуна повернулась ко мне задом»;
➡Часть 4: Самый странный повод взломать военных;
➡Часть 5: Призрачный номер и загадочный хакер;
➡Часть 6: Кошки-мышки с федералами;
➡Часть 7: Призрак в маске мертвеца;
➡Часть 8: Вконец обнаглевший подпольщик;
➡Часть 9: Туман Сиэтла, саспенс и чёрный вертолёт;
➡Часть 10: Киберсамурай выходит на охоту;
➡Часть 11: Глазами оскорблённого охотника;
➡Часть 12: В сжимающемся кольце охоты;
➡Часть 13: Хакер в объятиях системы;
➡Часть 14: Из изгоев к звёздам.
#SE #Митник #Разное
Открытый практикум Linux by Rebrain: Initial RAM disk в Linux
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉Регистрация
Время проведения:
14 августа (четверг) в 20:00 по МСК
Программа практикума:
▪️ Процесс загрузки Linux
▫️ Роль, формат и содержимое initial RAM disk
▪️ Инструменты создания initrd: dracut, initramfs-tools
▫️ Initrd встроенный в ядро — как поместить всю ОС в один файл
Кто ведёт?
Даниил Батурин — основатель проекта VyOS, системы для корпоративных и провайдерских маршрутизаторов с открытым исходным кодом.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFHAJZKv
• Все слышали историю Джеймса Хауэллса? В 2013 он выбросил в мусорное ведро жесткий диск, который, скорее всего, теперь является самым дорогим в мире.
• В ящике стола у Хауэллса хранились два 2,5-дюймовых HDD, от одного из которых он собирался избавиться. А в другом был кошелек с 7500 биткоинами. К сожалению для Джеймса, на свалку, как оказалось, отправился именно второй HDD...
• В 2017-м году, когда цена биткоина подскочила до $13 тысяч, Джеймс впервые вспомнил про свой HDD, решил попробовать его подключить, и понял, что натворил. Тогда у него сразу же появился первый план. Джеймс подал прошение в городской совет своего города, Ньюпорта, чтобы они разрешили ему копаться на местной свалке.
• Изучая динамику движения мусоровозов за прошедшие годы, Хауэллс с товарищами смогли сузить область поиска до 200 квадратных метров свалки. Глубина мусора там составляет около 15 метров. В конце концов выходит, что предстоит обыскать примерно 300 тысяч тонн мусора. А если диск находится в одном из верхних слоев — тогда «всего лишь» 100 тысяч тонн.
• Несмотря на отчаянное планирование операции по спасению диска, власти города не разрешили ему провести раскопки. По их мнению, такая процедура обойдется в миллионы фунтов, и может вызвать «необратимое воздействие на окружающую среду». В ответ Хауэллс предложил заплатить правительству четверть от найденного сокровища, на тот момент 55 миллионов фунтов (около $76 миллионов). Но даже это не убедило городские власти.
• В феврале этого года Хауэллс сообщил о планах приобретения мусорного полигона, чтобы всё же найти жёсткий диск. Накануне этого городской совет объявил о намерении закрыть свалку, чтобы построить на части её территории солнечную ферму. Уже в марте суд отклонил последнее ходатайство жителя Ньюпорта.
• По итогу Джеймс смирился и прекратил поиск... Если смотреть на текущий курс btc, то его кошелек имел общую стоимость более чем 860 млн. баксов.
#Новости #Разное
🖼 Происхождение тега IMG.
• На прошлой неделе рассказывал вам про первый в истории веб браузер, где упоминался NCSA Mosaic. Дело в том, что Mosaic был легендарным "продуктом". Летом 1993 года, всего за несколько месяцев после выхода, Mosaic изменил представление не только о браузерах, но и о WWW в целом.
• Mosaic сделал веб более приспособленным для сотен тысяч людей, впервые выходящих в онлайн. Конечно, Mosaic было легко установить на любой ОС. Он был чрезвычайно прост в использовании. Но большую роль в этих изменениях сыграл тег IMG.
• Конечно, за несколько месяцев до его выхода никто не знал, насколько браузер станет популярным. Mosaic был разработан в Национальном центре суперкомпьютерных приложений (NCSA). Разработкой руководил Майк Андриссен, в ту пору ещё бывший студентом, вместе с сотрудником NCSA Эриком Бина.
• При разработке первой версии Mosaic у него с Бином было множество идей. Они верили, что будущее сети зависит от более полной поддержки графики. В то время доступ к картинкам пользователи могли получать только через ссылки. Если на странице была картинка, пользователь щёлкал по ссылке, и она открывалась в новом окне. Андриссен и Бина представляли, как браузер может показывать картинки прямо в тексте веб-документов. Без лишних кликов.
• В то время существовало всего 18 элементов HTML. Ни один из них не подходил для задачи Андриссена. Поэтому в феврале 1993 года Андриссен в списке рассылки www-talk, популярном среди разработчиков сети, запостил новую тему. В ней он между делом предложил новый элемент HTML:
I’d like to propose a new, optional HTML tag:
IMG
Required argument is SRC=”url”.
aud для audio.<a>, а не вводить совершенно новый тег. Он считал, что веб должен быть гибко настраиваемым, и представлял мир, в котором пользователи возятся со своими браузерами, чтобы они демонстрировали страницы так, как им нравится. И строгий тег IMG не вписывался в эту картину.IMG в релиз, и не собирались менять синтаксис и поддержку. Встраиваемые в страницу изображения были наивысшим приоритетом для их браузера, и на это уже ничто не могло повлиять.IMG и SRC вместо IMAGE и SOURCE – вините в этом настойчивость программистов Mosaic. Вот так мы получили тег IMG, сокращения и всё прочее. Андриссен был на рынке первым, и очень сложно спорить с успехом. Уже скоро это стало традицией для браузеров и стандартов. Сначала что-то внедряли браузеры, а затем подтягивались и стандарты.
• Скам через тестовые задания на собеседованиях уже в прошлом. Злоумышленники пошли дальше и теперь скамят в первый рабочий день 😁
• Недавно на linkedin появилась забавная история (на скриншоте), которую опубликовал Kjartan Manvelyan. Ему предложили хорошую и высокооплачиваемую работу. Он прошел собеседование, созвонился с менеджером и получил оффер. В свой первый рабочий день нашего героя пригласили в Slack, где была целая команда разработчиков и других специалистов. Они общались между собой, направляли отчеты и актуализировали статусы по проектам.
• Всё было прекрасно, пока Kjartan не начал замечать странные вещи: разработчики в Slack отвечали максимально быстро на вопросы менеджеров (в туже минуту), на идеальном английском, с идеальной грамматикой и форматированием сообщений. А еще некоторые сообщения не имели никакого смысла, как будто сообщение пишет не живой человек, а ChatGPT... Оказалось, что именно так и есть.
• Это был целый "стартап", где в Slack общались боты и симулировали рабочую деятельность, а скамеры требовали от настоящих работников установить вредоносное ПО для кражи данных и криптовалюты.
• Но в случае с нашим героем все обошлось. Он вовремя заметил неладное и начал задавать различные вопросы, которые были связаны с подписанием документов при трудоустройстве. В конечном итоге его кикнули из Slack и больше с ним никто не связывался... Такие вот дела.
#СИ #Фишинг
• Новая книга по Kali Linux поступила в продажу чуть раньше, чем было заявлено издательством. По хорошей традиции этого канала предлагаю разыграть 5 книг в бумажной версии!
Краткая и понятная методика применения Kali Linux для тестирования кибер- безопасности, основанная на опыте Рика Мессье, не имеет себе равных. Эта книга — превосходное руководство, подходящее для новичков, и источник ценной информации для всех специалистов по безопасности.